Joi, în ultima sa săptămână de mandat, președintele Joe Biden a emis un ordin executiv menit să întărească apărarea cibernetică a națiunii, în parte prin solicitarea furnizorilor de software precum Microsoft să furnizeze dovada că îndeplinesc anumite standarde de securitate înainte de a-și putea vinde produsele către guvern federal.
Acțiunea urmează unui atac cibernetic din ultimii ani în care hackeri legați de Rusia, China și alți adversari au exploatat vulnerabilitățile software pentru a fura documente sensibile de la agențiile federale.
Cerând mai multă responsabilitate din partea producătorilor de software, Biden a subliniat cazurile în care contractanții „se angajează să urmeze practicile de securitate cibernetică, dar nu remediază vulnerabilitățile bine-cunoscute exploatabile în software-ul lor, ceea ce expune guvernul riscului de compromis”.
În iunie, ProPublica a raportat despre un astfel de caz care implică Microsoft, cel mai mare furnizor de IT al guvernului federal. În așa-numitul atac SolarWinds, care a fost descoperit cu puțin timp înainte de preluarea mandatului lui Biden, hackerii ruși sponsorizați de stat au exploatat o slăbiciune a unui produs Microsoft pentru a fura date sensibile de la Administrația Națională de Securitate Nucleară și de la alte agenții. ProPublica a constatat că, de ani de zile, liderii Microsoft au ignorat avertismentele despre defectul unuia dintre inginerii lor, deoarece se temeau că recunoașterea publică a acesteia ar înstrăina guvernul federal și ar face ca compania să piardă teren în fața concurenților.
Acea cultură a profitului peste securitate a fost condusă în mare parte de graba de a câștiga teren pe piața de cloud computing de miliarde de dolari, a raportat organizația de știri. Un fost supervizor Microsoft a descris atitudinea ca: „Fă tot ce e nevoie pentru a câștiga pentru că trebuie să câștigi”.
Microsoft și-a apărat decizia de a nu soluționa defectul, spunând ProPublica în iunie că evaluarea companiei la acea vreme a implicat „evaluări multiple” și că ia în considerare mai mulți factori atunci când ia decizii de securitate, inclusiv „deranjarea potențială a clienților, exploatarea și atenuările disponibile. ” Dar, în lunile și anii care au urmat hack-ului SolarWinds, erorile de securitate ale Microsoft au contribuit la alte atacuri asupra guvernului, inclusiv unul din 2023 în care hackerii conectați la guvernul chinez au obținut acces la e-mailurile oficialilor americani de vârf. Consiliul federal de revizuire a siguranței cibernetice a constatat mai târziu că compania a deprioritizat investițiile în securitate și gestionarea riscurilor, ceea ce a rezultat într-o „cascade de … erori care se pot evita”.
Jurnalismul bun face diferența:
Redacția noastră independentă, nonprofit, are o singură sarcină: să-i tragă la răspundere pe cei puternici. Iată cum investigațiile noastre stimulează schimbarea lumii reale:
Încercăm ceva nou. A fost de ajutor?
Microsoft s-a angajat să pună securitatea „mai presus de orice”.
Desigur, Microsoft nu este singura companie ale cărei produse au oferit hackerilor intrarea în rețelele guvernamentale. Hackerii ruși din atacul SolarWinds au obținut acces la rețelele victimelor prin actualizări de software contaminate furnizate de compania SolarWinds din Texas înainte de a exploata produsul Microsoft defectuos.
Pentru a preveni viitoarele hack-uri, guvernul dorește ca companiile IT să ofere dovezi că folosesc „practici de dezvoltare software sigură pentru a reduce numărul și gravitatea vulnerabilităților” în produsele lor, conform ordinului. În plus, guvernul „trebuie să adopte practici mai riguroase de gestionare a riscurilor de la terți” pentru a verifica utilizarea acestor practici, a spus Biden. El a cerut modificări ale Regulamentului federal privind achizițiile, regulile pentru contractarea guvernamentală, pentru a implementa recomandările sale. Dacă vor fi adoptate pe deplin, cei care încalcă noile cerințe ar putea fi trimiși procurorului general pentru acțiune în justiție.
Biden a mai spus că întărirea securității „sistemelor de management al identității” federale a fost
„deosebit de critic” pentru îmbunătățirea securității cibernetice a națiunii. Într-adevăr, produsul Microsoft care a făcut obiectul articolului din iunie al ProPublica a fost un așa-numit produs de „identitate” care permitea utilizatorilor să acceseze aproape fiecare program folosit la locul de muncă cu o singură conectare. Prin exploatarea slăbiciunii produsului de identitate în timpul atacului SolarWinds, hackerii ruși au reușit să aspire rapid e-mailurile din rețelele victimelor.
În noiembrie, ProPublica a raportat că Microsoft a valorificat SolarWinds în urma atacului, oferind agențiilor federale teste gratuite ale produselor sale de securitate cibernetică. Mișcarea a blocat efectiv acele agenții la licențe software mai scumpe și a extins considerabil amprenta Microsoft în guvernul federal. Compania a declarat pentru ProPublica că oferta sa a fost un răspuns direct la „o solicitare urgentă a Administrației de a îmbunătăți postura de securitate a agențiilor federale”. În ordinul său executiv, Biden a abordat consecințele acelei solicitări din 2021, îndrumând guvernul federal să atenueze riscurile prezentate de „concentrarea furnizorilor și a serviciilor IT”, o referire voalată la dependența crescută a Washingtonului de Microsoft, la care au făcut referire unii parlamentari. ca o „monocultură de securitate cibernetică”.
Deși ordinul marchează o poziție mai fermă cu companiile de tehnologie care furnizează guvernului, aplicarea legislației va reveni administrației Trump. Nu este clar dacă viitorul președinte va vedea modificările din ordinul executiv. Președintele ales Donald Trump a subliniat dereglementarea chiar dacă a indicat că administrația sa va adopta o atitudine dură față de China, unul dintre cei mai importanți adversari cibernetici ai națiunii.
Nici Microsoft, nici echipa de tranziție Trump nu au răspuns solicitărilor de comentarii cu privire la comandă.
Ordinul executiv de joi a fost cel mai recent dintr-o serie de eforturi de reglementare care au afectat Microsoft în ultimele zile ale administrației Biden. Luna trecută, ProPublica a raportat că Comisia Federală pentru Comerț investighează compania într-o anchetă care va examina dacă practicile de afaceri ale companiei au încălcat legile antitrust. Avocații FTC au organizat interviuri și au organizat întâlniri cu concurenții Microsoft, iar un domeniu cheie de interes este modul în care compania împachetează produsele Office populare împreună cu serviciile de securitate cibernetică și cloud computing.
Această așa-numită grupare a făcut obiectul investigației din noiembrie a ProPublica, care a detaliat cum, începând cu 2021, Microsoft a folosit această practică pentru a scoate concurenții din contracte federale profitabile. FTC consideră faptul că Microsoft a câștigat mai multe afaceri federale, chiar dacă a lăsat guvernul vulnerabil la hack-uri ca un exemplu al puterii problematice a companiei asupra pieței, a declarat pentru ProPublica o persoană familiarizată cu investigația.
Microsoft a refuzat să comenteze detaliile investigației, dar a declarat luna trecută organizației de știri că cererea recentă de informații a FTC este „amplă, cuprinzătoare și solicită ca lucruri care nu sunt posibile să fie chiar logice”.
Noua conducere a comisiei, aleasă de Trump, va decide viitorul acelei anchete.